Implementar DNSSEC

8 minutos

Interceptar e adulterar a resposta de consulta DNS de uma organização é um método de ataque comum. Se hackers mal-intencionados puderem alterar as respostas dos servidores DNS da Contoso ou enviarem respostas falsificadas para os computadores cliente em seus próprios servidores, eles obterão acesso às informações confidenciais da Contoso. Qualquer serviço que dependa do DNS para a conexão inicial, como os servidores Web de comércio eletrônico e servidores de email — está vulnerável.

O que é DNSSEC?

O DNSSEC previne que os clientes que estão fazendo consultas DNS aceitem respostas de DNS falsas. Quando um servidor DNS que está hospedando uma zona assinada digitalmente recebe uma consulta, o servidor retorna as assinaturas digitais com os registros solicitados. Um resolvedor ou outro servidor pode obter a chave pública do par de chaves pública/privada de uma âncora de confiança e assim validar as respostas como autênticas e não violadas. Para fazer isso, você deve configurar o resolvedor ou o servidor com uma âncora de confiança para a zona assinada ou pai da zona assinada.

Estas são as etapas de alto nível para implantar o DNSSEC:

Assinar a zona DNS.
Configurar a distribuição da âncora de confiança.
Configurar a NRPT (tabela de política de resolução de nomes) em computadores cliente.

Registros de recursos

A validação de resposta DNS é obtida pela associação de um par de chaves privada/pública (conforme gerado pelo administrador) com uma zona DNS e pela definição de registros de recursos DNS adicionais para assinar e publicar chaves.

Os registros de recursos distribuem a chave pública, enquanto a chave privada permanece no servidor. Quando o cliente solicita validação, o DNSSEC adiciona dados à resposta que permite que o cliente autentique a resposta.

A tabela a seguir descreve os registros de recursos adicionais usados com o DNSSEC.

Registro de recurso	Finalidade
RRSIG	Contém uma assinatura para um conjunto de registros DNS. Os clientes DNS podem usá-lo para verificar a autoridade de uma resposta. Quando um registro de recurso é resolvido, um registro de RRSIG (assinatura de registro de recurso) é enviado para verificação.
DNSKEY	Publica as chaves públicas para a zona. Ele permite que os clientes validem as assinaturas criadas pela chave privada mantida pelo servidor DNS.
NSEC	Quando a resposta DNS não tem dados para fornecer ao cliente, o registro Next Secure (NSEC) autentica que o host não existe.
NSEC3	Uma versão resumida do registro NSEC, que impede ataques enumerando a zona.
DS	Um registro de delegação que contém o código hash da chave pública de uma zona filho. Esse registro é assinado pela chave privada da zona pai. Se uma zona filho de um pai assinado também estiver assinada, você deve adicionar manualmente os registros de DS (signatário de delegação) do filho ao pai para criar uma cadeia de confiança.

Assinar a zona DNS

Uma captura de tela do console Gerenciador DNS. O administrador selecionou a zona Contoso.com e está iniciando o assistente de assinatura de zona DNSSEC.

O Windows Server inclui o Assistente de Assinatura de zona no Gerenciador DNS para simplificar o processo de configuração e assinatura e para habilitar a assinatura online. O assistente permite que você escolha os parâmetros de assinatura de zona. Se você optar por definir as configurações de assinatura de zona em vez de usar os parâmetros de uma zona existente ou usar os valores padrão, poderá usar o assistente para definir configurações como as seguintes:

Opções de chave de assinatura principal.
Opções de chave de assinatura de zona.
Opções de distribuição da âncora de confiança.
Parâmetros de assinatura e sondagem.

Uma captura de tela da página KSK (chave de assinatura principal) no assistente de assinatura de zona.

Distribuição de âncoras de confiança

Uma âncora de confiança é uma entidade autoritativa que é representada por uma chave pública. A zona TrustAnchors armazena chaves públicas pré-configuradas associadas a uma zona específica. No DNS, a âncora de confiança é o registro de recurso DNSKEY ou DS. Os computadores cliente usam esses registros para criar cadeias de confiança. Você deve configurar uma âncora de confiança da zona em cada servidor DNS de domínio para validar as respostas dessa zona assinada. Todos os servidores DNS que hospedam uma zona precisam ter os mesmos registros de chave DNSKEY para fornecer as informações necessárias para validar os registros de RRSIG.

Tabela de Políticas de Resolução de Nomes

A NRPT contém regras que controlam o comportamento do cliente DNS para enviar consultas DNS e processar as respostas dessas consultas. Por exemplo, uma regra DNSSEC solicita que o computador cliente verifique a validação da resposta para um determinado sufixo de domínio DNS. A melhor prática é ter a Política de Grupo como método preferencial de configuração da NRPT. Se nenhuma NRPT estiver presente, o computador cliente aceitará respostas sem validá-las.

Revisar ou alterar as configurações

Depois de concluir a assinatura de zona, você pode revisar ou alterar as configurações usando este procedimento:

No Gerenciador DNS, clique com o botão direito do mouse ou ative o menu de contexto para zona, clique em DNSSEC e, em seguida, Propriedades.
Use a caixa de diálogo Propriedades DNSSEC da zona zonename para revisar e editar as configurações.
Selecione OK quando tiver concluído.

Uma captura de tela das propriedades DNSSEC para a caixa de diálogo da zona Contoso.com. O administrador selecionou a guia Mestre de Chave.

Demonstração

O vídeo a seguir monstra como configurar o DNSSEC no DNS do Windows Server usando o console DNS. As principais etapas do processo são:

Abrir o Gerenciador do Servidore o Gerenciador de DNS.
Localizar a zona de pesquisa direta apropriada, clicar com o botão direito do mouse na zona ou ativar o menu de contexto, selecionar DNSSECe Assinar a Zona.
Use o Assistente de Assinatura de Zona para concluir o processo.
No Gerenciador DNS, expanda Pontos de Confiança. Verifique se os registros de recursos DNSKEY existem e se seu status é válido.
Abra Gerenciamento de Política de Grupo.
Abra um GPO adequado para edição.
No Editor de Gerenciamento de Política de Grupo, em Configuração do Computador, navegue até Políticas>Configurações do Windows>e Política de Resolução de Nomes.
Na seção Criar Regras, na caixa de texto Sufixo, insira o sufixo de domínio apropriado.
Clique em Habilitar DNSSEC nesta regra, Exigir que os clientes DNS verifiquem se os dados de nome e endereço foram validados pelo servidor DNS e clique em Criar.